Wat betekent de NIS2-richtlijn voor uw onderneming?

De NIS2-richtlijn (Richtlijn (EU) 2022/2555 van 14 december 2022) verplicht organisaties om zich te beschermen tegen cyberdreigingen, naast een strikte beveiliging van kritieke infrastructuur en persoonlijke gegevens. Ze heeft tot doel de beveiliging van netwerk- en informatiesystemen te versterken en de weerbaarheid van de maatschappij en de economie met betrekking tot cyberbeveiliging te waarborgen.

Zoals de naam al doet vermoeden, volgt de NIS2 de NIS1-richtlijn uit 2016 op. De verschillen zijn significant. “NIS2 vereist dat een veel groter aantal organisaties een alomvattend kader implementeert voor risicobeheer op het gebied van cyberbeveiliging”, geeft Valéry Vander Geeten, Head of Legal bij het Centrum voor Cybersecurity België (CCB) aan. “Bij de 6 sectoren van NIS1 komen er nu 12 sectoren bij. We maken een onderscheid tussen essentiële en belangrijke entiteiten.”

Naast de aard van de activiteiten, is ook de omvang van de entiteit belangrijk. NIS2 is van toepassing op bepaalde entiteiten die actief zijn binnen de 18 sectoren van zodra een entiteit minstens 50 werknemers tewerkstelt of een jaaromzet (of balanstotaal) heeft van meer dan 10 miljoen euro.

NIS2 voorziet ook in een uitgebreider en meer doortastend kader. “Een belangrijke nieuwe maatregel is dat entiteiten die onder de NIS2-regelgeving vallen, horen toe te zien op de kwaliteit van de cybersecurity van hun rechtstreekse leveranciers en dienstverleners. Dat heeft tot gevolg dat ondernemingen die niet binnen het toepassingsgebied van NIS2 vallen, toch indirect betrokken zijn”, stelt Valéry Vander Geeten.

Bart Callens, Product Manager Cybersecurity Proximus NXT, merkt dat bedrijven Proximus NXT vaak vragen voorleggen rond de betrokkenheid binnen de supply chain. “Dat een bedrijf niet actief is in een van de sectoren in de bijlagen van de wet, betekent dus niet dat het deze verplichtingen mag negeren. In de praktijk moet dus een groot aantal bedrijven compliant zijn.”

De NIS2-wet vereist dat entiteiten voorzien in een beleid inzake risicoanalyse en de beveiliging van informatiesystemen. Daartoe behoren ook interne opleidingen. Die verplichting geldt in het bijzonder voor de leden van de bestuursorganen. “Een van de meest opvallende veranderingen is de expliciete aansprakelijkheid die NIS2 aan het management oplegt”, gaat Bart verder. “Voor bestuurders is het dus van belang om cyberbeveiliging proactief te beheren en alert te blijven voor mogelijke dreigingen.” Bart stelt vast dat NIS2 op die manier niet enkel een IT- of securityproject is, maar het volledige C-niveau mee in het bad trekt.

De essentiële en belangrijke entiteiten hebben eveneens een meldingsverplichting bij incidenten die een signicatieve impact hebben op de uitoefening van hun diensten. “Een vroegtijdige waarschuwing moet binnen 24 uur na kennisname van het incident gebeuren, de communicatie binnen 72 uur”, stipt Valéry aan.

Maar hoe ingrijpend is NIS2 nu voor een organisatie? “Veel hangt af van de al aanwezige securitymaturiteit. Is een onderneming ISO 27001-gecertifieerd, dan zal de stap richting NIS2 veel kleiner zijn ten opzichte van een bedrijf met een minder gestructureerde beveiligingsaanpak”, verduidelijkt Bart.

“Bedrijven horen dat traject niet als een last te beschouwen, aangezien het hen net helpt om hun weerbaarheid met betrekking tot cyberincidenten te verhogen”, meent Valéry. Volgens Bart is het sentiment van bedrijven ten opzichte van NIS2 gewijzigd. “Aanvankelijk heerste er wel enige onduidelijkheid: valt mijn bedrijf wel of niet onder de scope, en wat moet er dan gebeuren? Nu het CCB een helder kader heeft uitgewerkt en tools, zoals het Cyberfundamentals Framework (CyFun ®) ter beschikking heeft gesteld, zien veel bedrijven NIS2 als een belangrijke schakel richting een geoptimaliseerd securitybeleid.”

Op de vraag of u de reis richting NIS2 als bedrijf al dan niet op eigen houtje onderneemt, is er geen eenduidig antwoord. “Veel hangt af van de interne capaciteit en kennis, de beschikbare tijd en de al aanwezige procedures”, aldus Valéry. Daar stemt Bart mee in. “Het CCB biedt op zijn website verschillende tools aan om bedrijven te begeleiden (zie 7 stappen om te voldoen aan de NIS2-wetgevingNieuw venster).

Tegelijk ligt er voor elke CISO en CIO al heel wat ander werk op de plank of verkies je een benadering die specifiek op jouw onderneming gericht is. Externe ondersteuning kan bijgevolg in veel gevallen een meerwaarde bieden.”

Proximus NXT voert samen met de klant volledige NIS2-assessments uit. “We berekenen de huidige beveiligingsmaturiteitsscore en wijzen op acties die dat niveau opkrikken. Dat resulteert in een praktische en realistische roadmap richting NIS2, binnen de vooropgestelde periode. Indien gewenst begeleiden en ondersteunen we de klant bij zijn volledige NIS2 compliancytraject en zorgen we er ook voor dat hij compliant blijft. Deze begeleiding gebeurt door Proximus NXT experten met jarenlange ervaring als CISO via de CISO-as-a-service-dienst.”

Essentiële entiteiten moeten hun NIS2-implementatie regelmatig laten nazien en beoordelen door een conformiteitsbeoordelingsinstantie. Ze horen het zekerheidsniveau basis of belangrijk te behalen vóór 18 april 2026, en het eindniveau moet gecertificeerd zijn vóór 18 april 2027. Ook belangrijke entiteiten kunnen zich onderwerpen aan een regelmatige conformiteitsbeoordeling. Bij een controle geldt het juiste label of certificaat als een vermoeden van conformiteit. Als blijkt dat er onvoldoende naleving van de NIS2-wet is, dan kunnen sancties worden opgelegd, waaronder diverse administratieve maatregelen en administratieve geldboetes.